إكتشاف ثغرة خطيرة في إضافة Yoast الشهيرة الخاصة بنظام إدارة المحتوى WordPress هذه الثغرة من الممكن أن تؤدي إلى إختراق المواقع المصابة.

الثغرة موجودة في إضافة Google Analytics by Yoast الشائعة الاستخدام، هذه الإضافة تسمح للمديرين بمراقبة الترافيك للمواقع الخاصة بهم، وذلك عن طريق الاتصال بحساب Google Analytics عن طريق هذه الإضافة.
إضافة Google Analytics by Yoast تم تحميلها ما يقرب من 7 مليون مرة وذلك مع أكثر من مليون تثبيت فعلي للإضافة.

في الأسبوع الماضي تم الإبلاغ عن أن كل إصدارات ‘WordPress SEO by Yoast’ مصابة بثغرة Blind SQL Injection والتي تسمح للمهاجم بتنفيذ الـ payload على الموقع المستهدف مما يؤدي إلى السيطرة على الموقع بالكامل.

كذلك، فإن إضافة Google Analytics by Yoast plugin مصابة بثغرة cross-site scripting (XSS)، والتي تسمح للمهاجم بتنفيذ كود PHP خبيث على السيرفر، مما يؤدي اختراق أو السيطرة على حساب الـ Admin.

الباحث الأمني Jouko Pynnönen من شركة Finnish IT firm Klikki Oy، هو من قام باكتشاف الثغرة وقام بإبلاغ Yoast، وفي خلال يوم، تم إصدار باتش لمعالجة الثغرة.

وقام Pynnonen بشرح التفاصيل الكاملة للثغرة، حيث أكد أن الثغرة تسمح للمهاجم بتخزين كود جافا سكربت خبيث أو html في لوحة تحكم المدير، هذا الكود الخبيث يعمل عندما يقوم المدير بمشاهدة نسبة الترافيك الخاصة بالمواقع من خلال لوحة الإعدادت الخاصة بإضافة Yoast.

تم إخطار شركة Yoast يوم الاثنين، وعلى غرار ذلك وباستجابة سريعة قامت الشركة بطرح إصدار جديد من Google Analytics by Yoast plugin (5.3.3) يوم الثلاثاء، ذلك وصرحت الشركة أنه حتى الآن لا يوجد دليل أو ما يثبت أن الثغرة تم اسغلالها على نطاق واسع أو أنها تسببت في ضرر الكثير من المستخدمين.